您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
“知、識(shí)、控、察、行”五步法鑄就高校數(shù)據(jù)安全堡壘
高校信息化在發(fā)展過程中,常常會(huì)出現(xiàn)業(yè)務(wù)系統(tǒng)數(shù)量多、規(guī)模大、復(fù)雜度高,業(yè)務(wù)數(shù)據(jù)增長迅猛等情況。大數(shù)據(jù)及數(shù)據(jù)集中化雖然方便了管理,但也帶來了風(fēng)險(xiǎn)的集中化。在利益驅(qū)動(dòng)下,針對(duì)數(shù)據(jù)安全的內(nèi)外部攻擊層出不窮。
2021年4月,教育部發(fā)布了《關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知》,國家層面也相繼出臺(tái)了《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī),為教育行業(yè)數(shù)據(jù)安全治理提供了重要的指導(dǎo)和參考,對(duì)于用戶個(gè)人信息的保護(hù)要求空前嚴(yán)格。
當(dāng)前,高校在數(shù)據(jù)安全方面,普遍存在以下幾方面的問題:
● 數(shù)據(jù)跨學(xué)院、跨部門流轉(zhuǎn),涉及不同院系、部門。缺乏統(tǒng)一團(tuán)隊(duì)、專業(yè)人員牽頭,無法形成統(tǒng)一數(shù)據(jù)安全防護(hù)體系;
● 數(shù)據(jù)流通性強(qiáng),涉及多個(gè)院系、部門的人員,數(shù)據(jù)安全事件發(fā)生后,難以有效溯源,缺乏認(rèn)責(zé)依據(jù),無法認(rèn)責(zé)造成部分人員無所顧忌;
● 校園內(nèi)部敏感信息泄露、以及敏感信息數(shù)據(jù)使用情況、違規(guī)訪問和泄漏分析的日志記錄,缺乏統(tǒng)一分析去溯源;
● 對(duì)于運(yùn)維人員、開發(fā)測(cè)試人員使用數(shù)據(jù)流程和方法缺乏監(jiān)控;
● 數(shù)據(jù)庫沒有廠家運(yùn)維,或數(shù)據(jù)庫過低不能升級(jí)新版本,容易被攻擊;缺乏數(shù)據(jù)識(shí)別、審計(jì)能力。
在高校數(shù)據(jù)安全建設(shè)方面,可圍繞“一個(gè)中心,四個(gè)領(lǐng)域,五個(gè)階段”構(gòu)建數(shù)據(jù)安全體系頂層設(shè)計(jì)。“一個(gè)中心”,即以數(shù)據(jù)安全防護(hù)為中心;“四個(gè)領(lǐng)域”,即數(shù)據(jù)安全建設(shè)的四個(gè)領(lǐng)域,包括組織建設(shè)、制度流程,技術(shù)工具和人員能力;“五個(gè)階段”是指數(shù)據(jù)安全建設(shè)的五個(gè)階段,分別為業(yè)務(wù)梳理、分級(jí)分類、策略制定、技術(shù)管控、優(yōu)化改進(jìn)。
在數(shù)據(jù)安全建設(shè)體系中,組織建設(shè)、制度流程、技術(shù)工具、人員能力四個(gè)領(lǐng)域,均需同步開展建設(shè)工作。同時(shí),應(yīng)做好對(duì)數(shù)據(jù)安全的相關(guān)管理工作,管理是技術(shù)的運(yùn)營依據(jù)、技術(shù)是管理的落地保障,兩者相輔相成,缺一不可。
借鑒Gartner的數(shù)據(jù)安全治理框架,定義了數(shù)據(jù)安全建設(shè)的五個(gè)階段。形成的數(shù)據(jù)安全方法論,即“知”“識(shí)”“控”“察”“行”。
● 知:分析政策法規(guī)、梳理業(yè)務(wù)及人員對(duì)數(shù)據(jù)的使用規(guī)范,定義敏感數(shù)據(jù);
● 識(shí):根據(jù)定義好的敏感數(shù)據(jù),利用工具對(duì)全網(wǎng)進(jìn)行敏感數(shù)據(jù)掃描發(fā)現(xiàn),對(duì)發(fā)現(xiàn)的數(shù)據(jù)進(jìn)行數(shù)據(jù)定位、數(shù)據(jù)分類、數(shù)據(jù)分級(jí);
● 控:根據(jù)敏感數(shù)據(jù)的級(jí)別,設(shè)定數(shù)據(jù)在全生命周期中的可用范圍,利用規(guī)范和工具對(duì)數(shù)據(jù)進(jìn)行細(xì)粒度的權(quán)限管控;
● 察:對(duì)數(shù)據(jù)進(jìn)行監(jiān)督監(jiān)察,保障數(shù)據(jù)在可控范圍內(nèi)正常使用的同時(shí),也對(duì)非法的數(shù)據(jù)行為進(jìn)行了記錄,為事后取證留下了清晰準(zhǔn)確的日志信息;
● 行:對(duì)不斷變化的數(shù)據(jù)做持續(xù)性的跟蹤,提供策略優(yōu)化與持續(xù)運(yùn)營的服務(wù)。
五步法——鑄就高校數(shù)據(jù)安全堡壘
1. 業(yè)務(wù)數(shù)據(jù)梳理與敏感數(shù)據(jù)識(shí)別
在組織與制度設(shè)計(jì)方面,應(yīng)自上而下形成由學(xué)校高層牽頭,橫跨學(xué)校業(yè)務(wù)部門與安全部門的組織架構(gòu)。由信息安全管理團(tuán)隊(duì)和數(shù)據(jù)業(yè)務(wù)管理團(tuán)隊(duì)共同商討建立數(shù)據(jù)安全制度流程體系。制定好的制度體系應(yīng)以文檔化的方式進(jìn)行落地管理,并嚴(yán)格執(zhí)行。
在敏感數(shù)據(jù)識(shí)別與定義方面,應(yīng)基于業(yè)務(wù)特點(diǎn)進(jìn)行數(shù)據(jù)的識(shí)別、數(shù)據(jù)分類、數(shù)據(jù)分級(jí)??筛鶕?jù)《中華人民共和國網(wǎng)絡(luò)安全法》要求對(duì)個(gè)人信息和重要數(shù)據(jù)分開進(jìn)行評(píng)估與定級(jí),再按照就高不就低的原則對(duì)數(shù)據(jù)條目進(jìn)行整體定級(jí)。
2. 數(shù)據(jù)全生存周期安全風(fēng)險(xiǎn)評(píng)估
在高校數(shù)據(jù)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估方面,可以從數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全等數(shù)據(jù)的生存周期角度進(jìn)行考慮。
敏感數(shù)據(jù)發(fā)現(xiàn)與風(fēng)險(xiǎn)評(píng)估系統(tǒng),可以實(shí)現(xiàn)智能數(shù)據(jù)分類分級(jí)、全網(wǎng)數(shù)據(jù)資產(chǎn)測(cè)繪、實(shí)時(shí)數(shù)據(jù)流轉(zhuǎn)測(cè)繪、大數(shù)據(jù)平臺(tái)風(fēng)險(xiǎn)掃描的能力。同時(shí),結(jié)合數(shù)據(jù)安全評(píng)估服務(wù),從數(shù)據(jù)生存周期各個(gè)階段評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn),應(yīng)該可以幫助您解決很大部分的敏感數(shù)據(jù)發(fā)現(xiàn)與風(fēng)險(xiǎn)評(píng)估問題。
3. 高校數(shù)據(jù)安全縱深防護(hù)
對(duì)于數(shù)據(jù)安全的風(fēng)險(xiǎn),應(yīng)以數(shù)據(jù)為中心,由內(nèi)而外對(duì)業(yè)務(wù)、網(wǎng)絡(luò)、設(shè)備、用戶采取“零信任”的態(tài)度,管控手段覆蓋全部環(huán)節(jié),任意環(huán)節(jié)失信后都能實(shí)現(xiàn)熔斷保護(hù)。
用戶側(cè)、終端側(cè)、網(wǎng)絡(luò)側(cè)、業(yè)務(wù)側(cè),以及數(shù)據(jù)中心,均應(yīng)做好安全防護(hù)措施,由外向內(nèi)防攻擊防入侵防篡改,由內(nèi)向外防濫用防偽造防泄露。同時(shí),對(duì)全部縱深防護(hù)環(huán)節(jié)進(jìn)行整體控制,實(shí)現(xiàn)環(huán)境感知、可信控制和全面審計(jì)。整合多層次的縱深防御,及時(shí)發(fā)現(xiàn)、阻止安全問題。
4. 敏感數(shù)據(jù)監(jiān)察分析
敏感數(shù)據(jù)監(jiān)察分析、發(fā)現(xiàn)安全問題與異常事件。應(yīng)從用戶、資產(chǎn)和數(shù)據(jù)行為模式出發(fā),依托5W1H分析模型進(jìn)行敏感數(shù)據(jù)行為分析,基于行為模式發(fā)現(xiàn)數(shù)據(jù)異常事件。
同時(shí),還應(yīng)基于歷史的可信訪問行為提取訪問規(guī)則,利用各類算法進(jìn)行行為聚類,形成可劃分的訪問行為簇并可視化呈現(xiàn)。通過這種圖譜分析與可視化展示讓管理者對(duì)于敏感數(shù)據(jù)訪問情況,由一無所知轉(zhuǎn)變?yōu)榭梢暱晒堋?/span>
5. 優(yōu)化改進(jìn)與持續(xù)運(yùn)營
業(yè)務(wù)與數(shù)據(jù)都處在不斷變化的過程中,還應(yīng)對(duì)數(shù)據(jù)安全進(jìn)行持續(xù)的優(yōu)化改進(jìn)與運(yùn)營。合規(guī)要求指導(dǎo)安全策略的設(shè)置,安全策略支撐合規(guī)治理要求的落地,二者相輔相成,配合持續(xù)優(yōu)化改進(jìn)運(yùn)營的“知識(shí)控察行”體系,實(shí)現(xiàn)持續(xù)自適應(yīng)的數(shù)據(jù)安全防護(hù)能力。
高校數(shù)據(jù)安全建設(shè)優(yōu)勢(shì)
1. 滿足合規(guī)要求
進(jìn)一步加強(qiáng)數(shù)據(jù)安全監(jiān)管機(jī)制,完善數(shù)據(jù)安全管理制度,提升大數(shù)據(jù)環(huán)境下數(shù)據(jù)合規(guī)使用能力。
2. 數(shù)據(jù)安全集中管控、智能分析
實(shí)現(xiàn)數(shù)據(jù)安全集中管控,實(shí)現(xiàn)對(duì)云環(huán)境下的整體信息資產(chǎn)、安全事件、安全風(fēng)險(xiǎn)、訪問行為等的統(tǒng)一分析與監(jiān)管,通過關(guān)聯(lián)分析技術(shù),使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)問題,定位問題,有效應(yīng)對(duì)安全事件的發(fā)生。
3. 數(shù)據(jù)生命周期全面掌控
掌握數(shù)據(jù)的全生命周期是對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的提前預(yù)知,利用本方案對(duì)數(shù)據(jù)的生命周期中各個(gè)環(huán)節(jié)做監(jiān)控,掌握數(shù)據(jù)的動(dòng)態(tài),了解數(shù)據(jù)的流向,提前對(duì)可能發(fā)生的數(shù)據(jù)泄露風(fēng)險(xiǎn)進(jìn)行預(yù)警,保障數(shù)據(jù)在安全的可控范圍內(nèi)流轉(zhuǎn)、使用與存儲(chǔ)。
4. 降低個(gè)人信息泄露風(fēng)險(xiǎn)
通過對(duì)個(gè)人信息的掃描與跟蹤,利用內(nèi)容識(shí)別、UEBA、機(jī)器學(xué)習(xí)等技術(shù),及時(shí)發(fā)現(xiàn)個(gè)人信息所承載的系統(tǒng)、業(yè)務(wù)、網(wǎng)絡(luò)、終端中的安全威脅,提前做好防范措施,讓泄密風(fēng)險(xiǎn)看得見、使個(gè)人信息泄漏防得住。
5. 提高個(gè)人信息使用者安全意識(shí)
數(shù)據(jù)安全解決方案的應(yīng)用,讓數(shù)據(jù)使用者了解數(shù)據(jù)的重要程度,規(guī)范數(shù)據(jù)使用者的操作行為,從潛意識(shí)里指導(dǎo)與幫助人們正確使用資源,合理利用資源,保護(hù)數(shù)據(jù)的安全。
參考來源:https://www.sohu.com/a/529962711_476857